没有httponly标志集的cookie
描述:cookie没有httponly标志集
如果在cookie上设置了HttpOnly属性,则客户端JavaScript无法读取或设置cookie的值。这种措施使某些客户端攻击(例如跨站点脚本)稍微难以通过防止通过注入的脚本来捕获Cookie的值来利用。
修复:cookie没有httponly标志集
通常没有充分的理由在所有cookie上设置httponly标志。除非您在应用程序中特别需要合法的客户端脚本来读取或设置Cookie的值,否则您应该通过相关Set-cookie指令中包含此属性来设置HttpOnly标志。
您应该意识到,在某些情况下,HttpOnly标志施加的限制可能会被避免,并且可以通过客户端脚本注入来提供许多其他严重攻击,除了简单的饼干偷窃。
参考
漏洞分类
典型的严重性
低的
类型索引(十六进制)
0x00500600.
类型索引(十进制)
5244416.